Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Vlastní detekce teď představuje nejlepší způsob, jak vytvářet nová pravidla napříč Microsoft Defender XDR Microsoft Sentinel SIEM. S vlastními detekcemi můžete snížit náklady na příjem dat, získat neomezený počet detekcí v reálném čase a využívat výhod bezproblémové integrace s Defender XDR daty, funkcemi a nápravnými akcemi s automatickým mapováním entit. Další informace najdete v tomto blogu.
Po nastavení Microsoft Sentinel pro shromažďování dat z celé organizace musíte neustále procházet všechna tato data, abyste mohli detekovat bezpečnostní hrozby pro vaše prostředí. Aby bylo možné tuto úlohu provést, Microsoft Sentinel poskytuje pravidel detekce hrozeb, která se spouštějí pravidelně, dotazuje shromážděná data a analyzuje je za účelem zjišťování hrozeb. Tato pravidla mají několik různých variant a souhrnně se označují jako analytická pravidla.
Tato pravidla generují upozornění , když najdou to, co hledají. Výstrahy obsahují informace o zjištěných událostech, jako jsou entity (uživatelé, zařízení, adresy a další položky). Výstrahy se agregují a korelují do incidentů – souborů případů – které můžete přiřadit a prošetřit , abyste zjistili úplný rozsah zjištěné hrozby a odpovídajícím způsobem reagovali. Můžete také vytvořit předem určené automatizované odpovědi do vlastní konfigurace pravidel.
Tato pravidla můžete vytvořit úplně od začátku pomocí integrovaného průvodce analytickými pravidly. Microsoft ale důrazně doporučuje, abyste využívali širokou škálu šablon analytických pravidel, které jsou dostupné prostřednictvím mnoha řešení pro Microsoft Sentinel v centru obsahu. Tyto šablony jsou předem vytvořené prototypy pravidel, které navrhly týmy odborníků na zabezpečení a analytiků na základě svých znalostí známých hrozeb, běžných vektorů útoku a řetězů eskalace podezřelých aktivit. Z těchto šablon aktivujete pravidla, která ve vašem prostředí automaticky vyhledávají všechny aktivity, které vypadají podezřele. Mnoho šablon je možné přizpůsobit tak, aby hledaly konkrétní typy událostí nebo je vyfiltrovaly podle vašich potřeb.
Tento článek vám pomůže pochopit, jak Microsoft Sentinel detekovat hrozby a co se stane dál.
Důležité
Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.
Typy analytických pravidel
Analytická pravidla a šablony, které můžete použít, si můžete prohlédnout na stránce Analýza v nabídce Konfigurace v Microsoft Sentinel. Aktuálně aktivní pravidla jsou viditelná na jedné kartě a šablony pro vytváření nových pravidel na jiné kartě. Na třetí kartě se zobrazují anomálie, což je speciální typ pravidla popsaný dále v tomto článku.
Pokud chcete najít více šablon pravidel, než je aktuálně zobrazeno, přejděte do centra Obsah v Microsoft Sentinel a nainstalujte související produktová řešení nebo samostatný obsah. Šablony analytických pravidel jsou dostupné u téměř všech produktových řešení v centru obsahu.
V Microsoft Sentinel jsou k dispozici následující typy analytických pravidel a šablon pravidel:
- Naplánovaná pravidla
- Pravidla téměř v reálném čase (NRT)
- Pravidla anomálií
- Pravidla zabezpečení Microsoftu
Kromě předchozích typů pravidel existuje několik dalších specializovaných typů šablon, které můžou vytvořit jednu instanci pravidla s omezenými možnostmi konfigurace:
- Analýza hrozeb
- Pokročilá detekce útoků s více fázemi ("fusion")
- Analýza chování strojového učení (ML)
Naplánovaná pravidla
Zdaleka nejběžnějším typem analytického pravidla jsou naplánovaná pravidla založená na dotazech Kusto , které jsou nakonfigurované tak, aby se spouštěly v pravidelných intervalech a kontrolovaly nezpracovaná data z definovaného období zpětného vyhledávání. Pokud počet výsledků zachycených dotazem překročí prahovou hodnotu nakonfigurovanou v pravidle, pravidlo vytvoří výstrahu.
Dotazy v šablonách plánovaných pravidel napsali odborníci na zabezpečení a datové vědy, ať už z Microsoftu, nebo od dodavatele řešení, které šablonu poskytuje. Dotazy můžou se svými cílovými daty provádět složité statistické operace a odhalit základní hodnoty a odlehlé hodnoty ve skupinách událostí.
Logika dotazu se zobrazí v konfiguraci pravidla. Můžete použít logiku dotazu a nastavení plánování a zpětného vyhledávání, jak je definováno v šabloně, nebo je přizpůsobit a vytvořit nová pravidla. Případně můžete vytvořit úplně nová pravidla úplně od začátku.
Přečtěte si další informace o pravidlech plánované analýzy v Microsoft Sentinel.
Pravidla téměř v reálném čase (NRT)
Pravidla NRT jsou omezenou podmnožinou plánovaných pravidel. Jsou navrženy tak, aby běžely jednou za minutu, aby vám co nejvíce dodávali informace.
Fungují většinou jako naplánovaná pravidla a konfigurují se podobně s určitými omezeními.
Přečtěte si další informace o rychlé detekci hrozeb pomocí analytických pravidel téměř v reálném čase (NRT) v Microsoft Sentinel.
Pravidla anomálií
Pravidla anomálií používají strojové učení ke sledování konkrétních typů chování v určitém časovém období, aby bylo možné určit směrný plán. Každé pravidlo má své vlastní jedinečné parametry a prahové hodnoty, které odpovídají analyzovanému chování. Po dokončení období sledování se stanoví směrný plán. Když pravidlo zaznamená chování, které překračuje hranice nastavené ve směrném plánu, označí tyto výskyty jako neobvyklé.
Konfigurace předefinovaných pravidel se sice nedají změnit ani ladit, ale můžete pravidlo duplikovat a potom duplikovat a doladit. V takových případech spusťte duplikát v režimu testovací verze a původní souběžně v provozním režimu. Pak porovnejte výsledky a přepněte duplikát do produkčního prostředí, pokud se vám bude ladit podle vašich představ.
Anomálie nemusí samy o sobě nutně značit škodlivé nebo dokonce podezřelé chování. Pravidla anomálií proto negenerují vlastní výstrahy. Místo toho zaznamenají výsledky své analýzy – zjištěné anomálie – do tabulky Anomálie . Do této tabulky se můžete dotazovat a poskytnout tak kontext, který zlepší vaše detekce, šetření a proaktivní vyhledávání hrozeb.
Další informace najdete v tématech Použití přizpůsobitelných anomálií k detekci hrozeb v Microsoft Sentinel a Práce s analytickými pravidly detekce anomálií v Microsoft Sentinel.
Pravidla zabezpečení Microsoftu
Zatímco naplánovaná pravidla a pravidla NRT automaticky vytvářejí incidenty pro výstrahy, které generují, výstrahy vygenerované v externích službách a ingestované na Microsoft Sentinel nevytvoří vlastní incidenty. Pravidla zabezpečení Microsoftu automaticky vytvářejí Microsoft Sentinel incidenty z výstrah vygenerovaných v jiných řešeních zabezpečení Microsoftu v reálném čase. Pomocí šablon zabezpečení Microsoftu můžete vytvářet nová pravidla s podobnou logikou.
Důležité
Pravidla zabezpečení microsoftu nejsou k dispozici , pokud máte:
- Povolení integrace incidentu Microsoft Defender XDR nebo
- Onboarded Microsoft Sentinel na portál Defender.
V těchto scénářích místo toho Microsoft Defender XDR vytvoří incidenty.
Všechna taková pravidla, která jste definovali předem, se automaticky deaktivují.
Další informace o pravidlech vytváření incidentů zabezpečení Microsoftu najdete v tématu Automatické vytváření incidentů z výstrah zabezpečení Microsoftu.
Analýza hrozeb
Využijte analýzu hrozeb vytvořenou Microsoftem ke generování vysoce věrných upozornění a incidentů pomocí pravidla Microsoft Threat Intelligence Analytics . Toto jedinečné pravidlo není přizpůsobitelné, ale pokud je povolené, automaticky odpovídá protokolům CEF (Common Event Format), datům syslogu nebo událostem DNS systému Windows s indikátory hrozeb domény, IP adresy a adresy URL z Microsoft Threat Intelligence. Některé indikátory obsahují více kontextových informací prostřednictvím MDTI (Analýza hrozeb v programu Microsoft Defender).
Další informace o tom, jak toto pravidlo povolit, najdete v tématu Použití odpovídajících analýz k detekci hrozeb.
Další informace o MDTI najdete v tématu Co je Analýza hrozeb v programu Microsoft Defender.
Pokročilá detekce vícestupňových útoků (Fusion)
Microsoft Sentinel používá modul fúzní korelace se škálovatelnými algoritmy strojového učení k detekci pokročilých vícestupňových útoků tím, že koreluje mnoho upozornění a událostí s nízkou přesností napříč několika produkty do vysoce věrných a akčních incidentů. Pravidlo rozšířené detekce útoků s více fázemi je ve výchozím nastavení povolené. Vzhledem k tomu, že logika je skrytá, a proto se nedá přizpůsobit, může s touto šablonou existovat pouze jedno pravidlo.
Fúzní modul může také korelovat výstrahy vytvořené pravidly plánované analýzy s výstrahami z jiných systémů, což vede k vysoce věrným incidentům.
Důležité
Typ pravidla rozšířené detekce útoků s více fázeminení k dispozici , pokud máte:
- Povolení integrace incidentu Microsoft Defender XDR nebo
- Onboarded Microsoft Sentinel na portál Defender.
V těchto scénářích místo toho Microsoft Defender XDR vytvoří incidenty.
Některé šablony pro detekci fúzní syntézy jsou také aktuálně ve verzi PREVIEW (viz Pokročilá detekce útoků s více fázemi v Microsoft Sentinel, abyste zjistili, které z nich). Další právní podmínky, které se vztahují na Azure funkce, které jsou v beta verzi, preview nebo jinak ještě nejsou obecně dostupné, najdete v doplňkových podmínkách použití pro Microsoft Azure Preview.
Analýza chování strojového učení (ML)
Využijte proprietárních algoritmů strojového učení Microsoftu ke generování vysoce věrných upozornění a incidentů pomocí pravidel analýzy chování strojového učení. Tato jedinečná pravidla (aktuálně ve verzi Preview) se nedají přizpůsobit, ale pokud jsou povolená, detekují specifická neobvyklá chování přihlášení SSH a RDP na základě IP adresy, geografické polohy a informací o historii uživatelů.
Přístupová oprávnění pro analytická pravidla
Když vytvoříte analytické pravidlo, použije se na pravidlo token přístupových oprávnění a uloží se spolu s ním. Tento token zajišťuje, aby pravidlo získalo přístup k pracovnímu prostoru, který obsahuje data dotazovaná pravidlem, a aby byl tento přístup zachován i v případě, že tvůrce pravidla ztratí přístup k tomuto pracovnímu prostoru.
Existuje však jedna výjimka z tohoto přístupu: když se vytvoří pravidlo pro přístup k pracovním prostorům v jiných předplatných nebo tenantech, například co se stane v případě MSSP, Microsoft Sentinel přijme dodatečná bezpečnostní opatření, aby se zabránilo neoprávněnému přístupu k zákaznickým datům. U těchto typů pravidel se přihlašovací údaje uživatele, který pravidlo vytvořil, použijí na pravidlo místo nezávislého přístupového tokenu, takže když uživatel už nemá přístup k jinému předplatnému nebo tenantovi, pravidlo přestane fungovat.
Pokud pracujete Microsoft Sentinel ve scénáři mezi předplatnými nebo mezi tenanty, když některý z vašich analytiků nebo techniků ztratí přístup k určitému pracovnímu prostoru, přestanou fungovat všechna pravidla vytvořená tímto uživatelem. V takovém případě se zobrazí zpráva monitorování stavu týkající se nedostatečného přístupu k prostředku a pravidlo se automaticky zakáže po určitém počtu selhání.
Export pravidel do šablony ARM
Pokud chcete pravidla spravovat a nasazovat jako kód, můžete pravidlo snadno exportovat do šablony Azure Resource Manager (ARM). Pravidla můžete také importovat ze souborů šablon, abyste je mohli zobrazit a upravit v uživatelském rozhraní.
Další kroky
Přečtěte si další informace o pravidlech plánované analýzy v Microsoft Sentinel a rychlé detekci hrozeb pomocí analytických pravidel téměř v reálném čase (NRT) v Microsoft Sentinel.
Další šablony pravidel najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu.